DPtech UMC统一管理中心实验指导.docx
《DPtech UMC统一管理中心实验指导.docx》由会员分享,可在线阅读,更多相关《DPtech UMC统一管理中心实验指导.docx(18页珍藏版)》请在冰点文库上搜索。
DPtechUMC统一管理中心实验指导
UMC统一管理中心
实验指导
(Ver1.0)
杭州迪普培训中心
2013年04月
目录
1.初始化安装1
1.1概览1
1.2网络拓扑1
1.3配置1:
安装UMC软件1
1)安装前准备1
2)安装UMC2
3)验证安装结果9
1.4配置2:
添加联动设备10
4)登陆WEB页面10
5)注册UMC10
6)添加IPS设备11
7)完成时间同步12
1.5配置3:
查看业务日志12
8)查看IPS攻击日志12
2.常见问题14
3.修订记录(内部保留)19
1.初始化安装
1.1概览
通过此实验,您将学习到:
安装UMC软件
添加联动设备
查看业务日志
1.2网络拓扑
描述:
IPS处于透明模式,Client与Server进行攻防实验,IPS输出攻击日志到UMC。
1.3配置1:
安装UMC软件
1)安装前准备
准备工作
✧确保所安装服务器与当地时间一致
✧调研服务器硬件配置
✧建议关闭360安全卫士、本地防火墙等安全软件
✧调研服务器开放端口
✧如重新安装UMC,需卸载软件,且手动删除安装目录所有文件
✧Win7及2008系统,需使用Administrator权限安装
软件要求
✧推荐操作系统:
Server2003/2008、WinXP、Win7(32、64位均可)
✧使用IE7.0及以上版本(IE内核均可,如遨游浏览器->非IE内核)
✧本地无冲突软件(Mysql数据库服务、Apache或ApacheTomCat、HTTP、TFTP、FTP等)
硬件要求
✧内存2G及以上(2G内存实际可用1.8G,小于1.8G可能正常无法使用)
✧CPU双核及以上
✧硬盘空间推荐160G及以上(根据使用情况而定)
✧不支持虚拟机(虚拟机磁盘为共享磁盘,磁盘转速不够;内存分配方式与物理机不一致)
安装文件
✧UMCV100R001B02D030SP05.exe(安装文件)
✧UMCLicense.dp_lic(临时License)
2)安装UMC
双击“UMCV100R001B02D030SP05.exe”,进行初始化安装
选择语言为“简体中文”
浏览指南
接受协议
选择快捷
安装目录
✧注意:
安装目录为英文目录(无汉字)。
服务端口
✧注意:
设置UMC的WEB页面访问端口,后期不得更改。
安装概览
安装软件
重启系统
3)验证安装结果
验证安装结果(若服务未正常启动,则安装失败,需卸载重新安装)
✧说明:
点击上图的“UMC统一安全管理服务器”图标即可登录。
✧注意:
如果某一服务无法启动,请检查本地环境。
1.4配置2:
添加联动设备
4)登陆WEB页面
输入“http:
//localhost:
8080”,初始用户名:
admin,密码:
UMCAdministrator
5)注册UMC
导入临时License
6)添加IPS设备
点击“添加”,输入需添加设备的IP地址及名称,点击“确定”
等待UMC与IPS通信,直到IPS状态为“正常”
7)完成时间同步
进行时间同步(使IPS本地时间与UMC一直)
1.5配置3:
查看业务日志
8)查看IPS攻击日志
查看攻击日志
功能验证:
Client与Server进行攻防演练(参考IPS手册),UMC可查看攻击日志。
2.常见问题
常见问题
(一)
故障现象:
点击系统任务栏上的UMC图标,数据库服务状态为关闭,且无法正常启动。
1)UMC数据库服务使用的端口号3308是否已经被占用(netstat-ano|findstr"3308")。
2)进入UMC安装目录下的数据库目录,以默认安装目录为例。
C:
\ProgramFiles\UMC\database\data\,查看该目录下是否存在err文件或log文件,并查看这些文件内容,看是否有相关错误信息,并根据错误信息定位UMC数据库服务启动失败原因。
常见问题
(二)
故障现象:
点击系统任务栏上的UMC图标,Web服务状态为关闭,且无法正常启动。
1)UMC安装目录为中文目录。
目前UMC安装目录只支持英文目录,不支持中文目录,如果将UMC安装到中文目录则会导致Web服务不能启动。
2)进入UMC安装目录的server目录下的日志目录,即C:
\ProgramFiles\UMC\server\logs\,该目录下有相关日志文件,请参考日志文件内容判断启动失败原因。
常见问题(三)
故障现象:
点击系统任务栏上的UMC图标,后台服务状态为关闭,且无法正常启动。
如果在系统中安装有360或杀毒软件等类似功能的工具,在UMC安装过程中可能会提示某些操作是否允许,必须选择允许UMC安装后后台服务才能正常启动。
常见问题(四)
故障现象:
接收日志过程中发现UMCcam.exe或者UMCuagns.exe在windows页面上报错。
检查该服务器是否存在VC环境;如有,则需协商卸载。
常见问题(五)
故障现象:
关闭UMC的所有服务并数据库初始化,无法完成数据库初始化。
UMC数据库初始化时,请先停止除数据库服务之外的所有UMC服务,但数据库服务不能停,否则将导致数据库初始化操作不能顺利完成,最终可能导致UMC数据库被破坏。
常见问题(六)
故障现象:
某一时刻某种日志终止。
确认设备是否将相关日志发送到UMC,如果是,则可能是UMC数据库中相关业务的数据库表已经损坏,请重新启动UMC数据库服务,损坏的数据库表将被修复。
常见问题(七)
故障现象:
无法成功注册UMC的License。
1)申请License时,即与所安装的服务器做了绑定,后期如果更换服务器,则此License失效。
2)需通过相关途径重新申请。
常见问题(八)
UMC描述文件导入路径。
1)APP:
http:
//127.0.0.1/UMC/uag/UagServiceUpgrade.action,或点击快捷方式【网络监控】->【区域业务分析】->【服务定义】->。
2)URL:
http:
//127.0.0.1/UMC/dev/DevUrlRuleUpgradeFile.action,或点击快捷方式【网络监控】->【区域业务分析】->【Web应用分析】->。
3)IPS:
http:
//127.0.0.1/UMC/ips/IpsRuleUpgrade.action,或点击快捷方式【攻击监控】->【综合分析】->【规则列表】->。
常见问题(九)
流量分析相关功能:
使用抓包工具已经获取到设备发向UMC的数据包,但UMC后台不能将相关的数据正常解析,页面上不能显示。
1)请确认UMC后台服务状态是否正常。
2)请确认是否已经将系统防火墙关闭,如果UMC被安装在虚拟机中,请确认是否已经将虚拟机防火墙关闭。
3)如果在UMC端能抓到9502报文的情况下,仍然显示不出流量,请确认设备时间是否与UMC的时间同步,如果不一样,请将设备时间与UMC时间同步,再在设备流量分析配置UMC地址的页面上再次点击确定,以免流量分析功上报日志时报文中仍然包含的是老时间。
4)如上述情况均正常,则可能是设备发送的日志与UMC可以接受的日志格式不同导致UMC后台不能正常解析日志信息,请确认设备版本和UMC版本是否一致。
常见问题(十)
故障现象:
设备已经成功添加到UMC上,状态为“正常”,但cpu使用率等参数为空。
1)确保设备的SNMP读写团体字信息,与UMC添加设备的读写团体字信息一致。
2)重新开启并下发设备的“SNMP配置”(默认使用SNMPv1和SNMPv2c版本)。
常见问题(十一)
故障现象:
UMC无法接收设备传的文件,包括日志、设备状态等。
1)确认设备是否已经将文件发向UMC以及UMC的tftpd服务没有正常启动,UMC后台服务中包括一个UMCTftpd.exe进程。
2)在开启UMC的tftpd服务时,确认系统中没有同时使用其他占用tftpd服务端口号的程序,比如3CDaemon等。
常见问题(十二)
打开电脑“资源管理器”查看进程“UMCflow.exe”如果存在多个此进程,说明在重启UMC时出错,导致UMC重复的启动了“UMCflow.exe”进程。
停止UMC服务,将“UMCflow.exe”进程删除,在启动UMC服务。
常见问题(十三)
重启UMC服务需注意。
停用顺序为“UMC后台服务->UMCWEB服务->UMC数据库服务”在每停用一项服务时请点击右上角的刷新按钮以确认已经停止服务。
重新启用UMC服务时顺序“UMC数据库服务->UMCWEB服务->UMC后台服务”。
常见问题(十四)
注册License后,导入info文件异常。
使用IE浏览器下载,部分浏览器自带下载工具会篡改文件内容。
常见问题(十五)
时间同步的重要性。
1)未同步将导致日志显示滞后,或异常。
2)同步前请勿有审计动作(避免未老化),及向UMC发送日志。
3)UMC数据分析依靠时间维护,错误的时间将对UMC产生严重影响。
3.修订记录(内部保留)
修订日期
修订版本
修订描述
作者
2013-04-04
V1.0
UMC实验指导初稿编写完成;公开级文档
张梦明
升级会员 